Det kanskje viktigste ansvaret hviler på ledelsen.
Mange virksomheter satser tungt på IT-sikkerhetsutstyr. Likevel ser vi nesten daglig oppslag om velrennomerte aktører som har mistet tilgang til filene sine. Hvorfor?
I følge Mørketallsundersøkelsen 2020, viser det seg at det gjerne ikke er brannmuren som svikter, men sikkerhetskulturen. Halvparten av de 1601 deltakerne oppgir at sikkerhetsbrudd skyldes menneskelige feil, og 39 prosent mener manglende sikkerhetsbevissthet hos ansatte ligger bak.
«Blant de som er utsatt for sikkerhetsbrudd er det tilfeldigheter og uflaks som ses som den vanligste årsaken. Halvparten mener det skyldes menneskelige feil og 39 prosent mener det er mangel på sikkerhetsbevissthet hos ansatte som er årsaken.»
- Mørketallsundersøkelsen 2020, Næringslivets sikkerhetsråd
Den menneskelige faktoren er altså avgjørende for å forhindre (eller forårsake) dataangrep. Men hvordan kan du som leder skape en robust sikkerhetskultur?
Hva er IT-sikkerhetskultur?
Før vi snakker om IT-sikkerhetskultur, må vi etablere rammene. Det norske akademis ordbok (NAOB) definerer kultur på følgende måte:
| Nedarvet praksis; (godtatt) holdning eller skikk og bruk |
«Nedarvet» kan tolkes som tradisjon, altså hva forgjengerne gjorde. I organisasjonssammenheng er det imidlertid vel så mye snakk om hierarkisk arv – altså at ledelsens praksis, og hva den signaliserer til sine medarbeidere, blir definerende for organisasjonens holdninger og atferd.
Det skjer enten praksisen er bevisst (villet) eller ubevisst (vilkårlig). Alle virksomheter har derfor en IT-sikkerhetskultur. Spørsmålet er hvorvidt sikkerhetskulturen er forenlig med risikobildet virksomheten står overfor.
|
|
Hvorfor er IT-sikkerhetskultur viktig?
«Digital sikkerhet er ikke bare en myndighetsoppgave. Digital sikkerhet er en «allemanns-oppgave». Som ledere i næringslivet påhviler det oss et spesielt ansvar for vår virksomhets digitale sikkerhet.»
- Odin Johannesen, direktør i Næringslivets sikkerhetsråd
Noen virksomheter sitter på svært tydelige verdier. Eksempelvis er det åpenbart at en bank oppbevarer og flytter store pengebeløp, i tillegg til sensitive person- og selskapsopplysninger. Dermed er de utsatt for angrep, både digitalt og fysisk, og sikkerhetsregimet står som hovedregel i stil til dette.
|
Bankkortet ditt... Men sikkerheten faller bort hvis du oppbevarer kort og kode på samme sted. Derav instruksen: |
Andre virksomheter tenker ikke på seg selv som attraktive mål, gjerne fordi det er uklart for dem hva de har av digitale verdier. Har en blomsterforretning digitale verdier? En kommune?
Svaret er et rungende ja. Ingen virksomheter, uansett størrelse, er forskånet fra dataangrep. Selv privatpersoner angripes i hopetall. Sikkerhetskultur er derfor noe som angår oss alle. Utfordringen for oss som jobber med IT-sikkerhet, er å gjøre folk oppmerksomme på risikoen.
Nylig kapret hackere kontrollsystemet til et vannverk i Tampa, Florida. De forsøkte deretter å blande inn et farlig høyt nivå av lut i drikkevannet, men ble heldigvis stanset etter kort tid fordi en våken operatør grep inn. Vannverket hadde uansett sikkerhetsmekanismer som ville slått inn om konsentrasjonen hadde steget over et visst nivå, men hvem vet hva de angriper neste gang?
«The important thing is to put everyone on notice», sa den lokale ordføreren etterpå.
«This should be a wake-up call.»
Hvor lenge hadde du klart deg uten filene dine?
Selv om verdiene dine ikke nødvendigvis er omsettelige i særlig grad, har du likevel verdier. Og det holder at noe primært er verdifullt for deg.
Driver du en blomsterforretning, inneholder serveren din neppe så mye eksplosivt materiale. Men uten tilgang er det kanskje umulig å opprettholde driften, i alle fall på kort sikt. Får du serveren din kryptert, opplever du det kanskje da som et godt alternativ å betale kr 100 000 for å gjenopprette hverdagen, fremfor å bruke fire uker på å reetablere infrastrukturen som trengs. For ikke å snakke om alle filene som ellers ville gått tapt om du ikke betaler.
Likegyldighet er grobunn for dataangrep
Så lenge virksomheter tar lett på IT-sikkerhet, har angriperne gode arbeidsforhold. Da vil det komme flere angrep, som gir løsepenger, som igjen finansierer utstyr, kompetanseutvikling og enda nye angrep.
IT-sikkerhetskultur har altså både et individuelt og et kollektivt aspekt. Virksomheter som tar dette på alvor, vil beskytte seg selv og samfunnet de er en del av. Økonomien vår er svært sammenvevd, og det er ikke noe særlig å være leverandør til en kunde som ikke kan betale for seg fordi regnskapssystemet deres er hacket. Et annet poeng er sensitive opplysninger: De har en tendens til å spre seg til flere ledd i verdikjeden, og lekkasjen kan være et faktum selv om bare ett av leddene rammes av et angrep.
Hvordan styrke IT-sikkerhetskulturen
I Norge er det påbudt med sikkerhetssele når du kjører bil. Dette er imidlertid et sikkerhetstiltak som bare fungerer dersom brukeren gjør det på rett måte.
Er du compliance-orientert (vil ikke få bot), tar du på deg beltet, men slenger kanskje bena på dashbordet og slakker opp på sikkerhetsselen så den ikke strammer. Er du sikkerhetsorientert (vil ikke bli skadet), sitter du normalt i bilstolen, fjerner en eventuell dunjakke og sørger for at beltet sitter tett inntil kroppen hele veien. I begge tilfeller har du gjort som du skal (bruker sikkerhetssele) men du er bare sikret i det andre tilfellet.
Det samme gjelder innen IT. Som leder må du være bevisst på hva som er minimumskrav fra myndigheter og andre interessenter, og hva som faktisk sikrer verdiene deres. Dette bruker du til å etablere et kulturdokument, kall det gjerne en håndbok for ansatte, som du jevnlig oppdaterer i henhold til trusselbildet. Hør gjerne med en rådgiver dersom du ønsker hjelp til å gjøre en analyse av din virksomhet.
Les mer: Sikker på e-post? Ta Data Equipments «Helsesjekk»
Øvelse gjør mester
Så snart kulturen er definert, gjelder det å holde bevisstheten i hevd. Det innebærer å øve – akkurat som ved brannøvelser eller jevnlige førstehjelpskurs. Akkurat hvilke tiltak som gjelder for deres virksomhet er helt individuelt; poenget er at alle ansatte må vite og automatisere korrekt atferd i møte med potensielle trusler. Angripere er eksperter på å vinne tillit og tilgang. Det er ikke tilfeldig at Zero Trust-prinsippet oppsto.
Et siste viktig poeng er at mange har tjenesteutsatt (outsourcet) IT-tjenester. Da er det lett å tenke at også sikkerheten er ivaretatt av noen andre, men det er bare delvis riktig. Tjenestene kommer med innebygde sikkerhetsmekanismer, men kulturen kan du aldri sette vekk. Det er fullt mulig å bruke sikre tjenester på usikre måter, så bevisstgjøring og øving er høyaktuelt for alle virksomheter.
